Il 26 maggio 2016 è entrata in vigore la nuova normativa europea in materia di trattamento dei dati personali: GDPR n. 679/2016. Dal 25 maggio 2018 diventerà applicabile in tutti gli stati membri dell’UE.
Il tuo sito web è pronto? Scopriamo insieme come adeguarlo.
Di seguito vedremo passo per passo quali sono i punti chiave di questa normativa e come aggiornare il tuo sito web per renderlo conforme al GDPR n. 679/2016.
Preparati, perché non sarà una passeggiata.
Cosa vedremo?
- Che cos’è il GDPR?
- Primo punto chiave del nuovo GDPR: Responsabilità del Titolare
- Secondo punto chiave del nuovo GDPR: consenso informato e esplicito
- Terzo punto chiave del nuovo GDPR: Privacy By Design
- Come adeguare il banner al consenso dei Cookie?
- Come adeguare la Privacy Policy?
- Sanzioni
- Articoli utili
1. Che cos’è il GDPR?
Partiamo dalle basi.
Il GDPR è un regolamento europeo che si applica al trattamento dei dati personali (nome, cognome, codice fiscale, ecc.) e interessa al trattamento dei dati di utenti che si trovano negli stati membri dell’UE.
A differenza della precedente norma D. lgd 193/03, introduce regole più chiare in materia di informativa e consenso, regolamentando in maniera più uniforme l’aspetto della privacy policy, non solo a livello di web.
Ciò che interessa a noi, tuttavia, riguarda le ripercussioni che tale normativa ha sul tuo sito web.
2. Primo punto chiave del nuovo GDPR: Responsabilità del Titolare
Il nuovo Regolamento prevede che il Titolare del trattamento sia direttamente responsabile per le violazioni della normativa. Il Titolare del trattamento è responsabile dell’adeguamento al Regolamento in materia legale, organizzativa e tecnica e dovrà rispondere di un’eventuale inadempienza, dimostrando o comprovare la conformità ai principi enunciati nel Regolamento Europeo.
3. Secondo punto chiave del nuovo GDPR: consenso informato e esplicito
L’aspetto più importante per i siti web in questo nuovo GDPR è sicuramente il trattamento dei dati personali degli utenti. Con dati personali si intende tutte le informazioni riguardanti una persona fisica, quali nome, foto, indirizzo e-mail, dati bancari, indirizzo di residenza e indirizzo IP.
In sostanza, tutto ciò che riguarda strettamente l’utente che naviga il tuo sito web, per cui è riconducibile, compresi i cari e vecchi cookies.
A tal proposito, cita il regolamento UE 679/2016 al paragrafo 30.
Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.
Questi dati vengono elaborati dal tuo sito web, ovvero vengono utilizzati per qualsiasi operazione. Anche la sola memorizzazione dell’IP (es. tramite cookie) è una forma di trattamento dei dati personali e per tanto deve essere esplicitata e l’utente deve poter dare o negare il consenso.
Tale consenso però deve essere un consenso informato ed esplicito, ovvero l’utente deve poter dare o negare tale consenso in qualsiasi momento della navigazione.
È questo il punto focale che interesserà direttamente il tuo sito web.
4. Terzo punto chiave del nuovo GDPR: Privacy By Design
La Protezione dei dati dell’utente deve essere tenuta in considerazione fin dalla progettazione di un processo aziendale e, nel nostro caso, di un sito web.
Il Titolare del trattamento attuare misure idonee a garantire che, per impostazione predefinita del sito web, siano trattati solo i dati strettamente necessari per ogni specifica finalità di trattamento: alla base ci deve essere la massima tutela dell’interessato.
Ciò comporta la necessità di un’analisi preventiva e documentata dei dati che verrebbero trattati e dei rischi, così da configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili per soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.
4a. Come rendere Google Analytics conforme alla normativa GDPR?
Google Analytics è sicuramente uno dei servizi più utilizzati per analisi e monitoraggio dati ed è uno degli strumenti a rischio privacy.
Per prima cosa, il suo utilizzo deve essere esplicitamente dichiarato nella Privacy Policy del sito web.
Come seconda cosa, disattiva le impostazioni di condivisione del singolo account, così da non autorizzare Google a utilizzare i tuoi dati per attività di analisi o profilazione o altro ma rimarranno di proprietà di Google Analytics per il solo servizio di monitoraggio.
Puoi farlo nella sezione Impostazioni dell’account, all’interno della tab Account di Analytics.
Puoi anche controllare il tempo di conservazione dei dati e reimpostarlo a piacimento (oltre che notificarlo nella tua Privacy Policy). Se imposti una scadenza, quando i dati raggiungono la fine del periodo di conservazione, vengono eliminati automaticamente ogni mese.
Per maggiori informazioni a riguardo, visita la pagina dedicata del supporto di Google.
Terza manovra che consiglio è inoltre anonimizzare gli indirizzi IP degli utenti che navigano il tuo sito per Google Analytics. Per farlo basta fare una semplice operazione: aggiungere una stringa nello script di GA.
ga('create', 'UA-XXXXX-X', 'auto'); ga('set', 'anonymizeIp', true); ga('send', 'pageview');
Per la vecchia versione di Analytics, invece:
_gaq.push(['_setAccount', 'UA-XXXXX-X']); _gaq.push(['_gat._anonymizeIp']); _gaq.push(['_trackPageview']);
Se utilizzi Global Site Tag, ti basta aggiungere un’altra stringa:
gtag('js', new Date()); gtag('config', 'GA_TRACKING_ID', { 'anonymize_ip': true });
E con Google Tag Manager?
Ti sarà sufficiente modificare il TAG Analytics configurato nel Tag Manager: apri le impostazioni del Tag e aggiungi nella sezione Campi da impostare il nome campo anonymizeIp con valore = true.
5. Come adeguare il banner al consenso dei Cookie?
Il banner al consenso dei Cookie che già è presente sul tuo sito web dovrà essere sicuramente modificato per diventare conforme alla nuova normativa.
Non basta che l’utente accetti l’utilizzo dei cookies sul sito web, ma il consenso deve essere:
- informato e preventivo: l’utente deve essere informato in anticipo sui cookie utilizzati sul tuo sito web, sulle loro finalità e localizzazione. L’utente deve deve inoltre poter consentire o non consentire a ciascuna tipologia di cookie in ogni momento;
- esplicito: il consenso o non consenso dell’utente deve essere una chiara azione affermativa e positiva;
- registrato: il consenso deve essere registrato, ovvero devi tenere traccia di tale consenso così da avere la prova che l’utente abbia davvero acconsentito o meno;
- reversibile: l’utente deve poter modificare il consenso in qualsiasi momento, anche ritirarlo, pur continuando normalmente la navigazione sul tuo sito web.
Regolamento UE 679/2016 al paragrafo 32.
Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
6. Come adeguare la Privacy Policy?
Il sito web deve mostrare una Privacy Policy ben definita che chiarisca quali sono i dati che verrebbero raccolti qualora l’utente dia il consenso. L’informativa, deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, con un linguaggio chiaro e semplice.
Per stilare una Privacy Policy a norma, consiglio di chiedere il supporto ad un consulente legale, sopratutto se il tuo sito web presenta casi particolari da analizzare e regolamentare.
Per farti un’idea tuttavia di cosa dovrà essere valutato in fase di stesura, ecco quali diversi aspetti e funzionalità dovrai analizzare:
- Il tuo sito web presenta un modulo di registrazione utenti?
- Il tuo sito web da modo agli utenti di commentare articoli o pagine?
- Il tuo sito web presenta un modulo di contatto?
- Quali plugin sono installati sul tuo sito web?
- Quali strumenti di analisi utilizzi?
- Utilizzi uno strumento per l’email marketing? Presenti un form di iscrizione alla newsletter?
A ciò vanno aggiunte altre valutazioni:
- Cosa viene registrato?
- Chi sta registrando?
- Dove sta registrando e Dove verrà memorizzato il dato? Ciò perché la normativa prevede che i dati personali non debbano lasciare l’UE a meno che l’interessato non sia stato informato del trasferimento dei dati e dei rischi associati e ne abbia autorizzato l’esecuzione.
- A quale scopo sta registrando?
- Per quanto tempo resteranno memorizzati i dati?
L’informativa sulla Privacy dovrà inoltre contenere le seguenti informazioni:
- Titolare del sito web nonché Titolare del trattamento;
- URL del sito web;
- Indirizzo della sede legale, con Città, Cap e Stato;
- Indirizzo di posta elettronica con cui contattare il Titolare;
- Numero di telefono con cui contattare il Titolare.
La Policy deve inoltre:
- Specificare tutti i diritti tutelati dal GDPR;
- Specificare quali servizi di terze parti che profilano gli utenti sono utilizzati nel sito, con l’indicazione della relativa privacy policy di ciascun servizio;
- Specificare come proteggi i dati dei tuoi utenti, ad esempio attraverso una costante scansione Malware;
- Specificare quale policy di sicurezza il tuo sito web sta utilizzando attraverso l’hosting web;
- Per eCommerce, specificare come vengono processate le transazioni, ovvero certificato SSL, gateway provider (es. Paypal) ecc…;
- Rimandare anche ad una chiara e dettagliata Cookie Policy
È chiaro che una valutazione e una stesura di una Privacy Policy di questo tipo richiede conoscenze tecniche che non sei tenuto ad avere. Per questo ti consiglio di avvalerti di un consulente.
7. Sanzioni
Ricorda che hai tempo fino al 25 maggio 2018 per adeguare il tuo sito web al nuovo regolamento europeo. In caso ciò non avvenga, rischi di incorrere in una sanzione che può arrivare fino ad un massimo di 20 milioni di euro oppure, se una multa di 20 milioni non è sufficiente, il corrispettivo del 4% del fatturato annuo internazionale.
Le autorità di controllo inoltre potranno limitare o vietare del tutto un trattamento che comporterebbe anche la sospensione di un servizio, con conseguenze economiche anche più gravi di una sanzione.